9.3 Särskilt om loggning

Med loggning avses ett kontinuerligt insamlande av sådana elektroniska spår som innehåller information om aktiviteter vid användning av teknisk (dator-) utrustning. Loggning kan ske av flera olika skäl såsom t.ex. att säkra drift och för att kunna åtgärda fel. Loggning kan även ske av säkerhetsskäl. Det kan vara av stort intresse att ha överinseende över IT-systemen och kunna upptäcka t.ex. omständigheter som tyder på intrångsförsök och överbelastningsattacker. Loggning kan också användas för att kartlägga den vardagliga belastningen för olika tjänster för att kunna dimensionera kapaciteten efter rådande behov. Loggning kan givetvis också användas för att samla information om t.ex. användarmönster och kartläggning av en enskilds användares aktivitet.

Det finns för det mesta möjlighet att välja grad av loggning och vad som skall loggas. I t.ex. ett e-postprogram loggas oftast uppgifter om avsändare, mottagare, klockslag och ärendemening för varje e-postmeddelande som går via aktuell e-postservern. Uppgifterna kommer att lagras i en loggfil och blir därmed tillgängliga för läsning. Hur länge loggarna sparas bestäms av huvudmannen d.v.s. lärosätet företrädesvis i någon gallringsföreskrift. Praktiskt taget all användning av elektronisk utrustning generar \u201delektroniska\u201d spår som samlas in i loggfiler. Någon egentlig begränsning finns inte när det gäller möjligheter att få tillgång elektronisk information skapad eller kommunicerad vid användning av IT- utrustning.

Vid användning av IT-resurser på arbetsplatsen ges arbetsgivaren således nästan obegränsade möjligheter att endera manuellt eller automatiserat ta del av all information som finns lagrad i sådana IT-system. Arbetsgivaren har de facto tillgång till all elektroniskt lagrad information som är arbetsrelaterad men även privat information som har lagrats i systemen i och med privat användning. Även sådan information som lagras temporärt, t.ex. i samband med kommunikation över Internet eller som sparas vid automatisk säkerhetskopiering, kan finnas tillgänglig för arbetsgivaren. Beroende på utrustningen och dess inställningar kan uppgifterna komma att lagras under kortare eller längre tid. Således kommer begreppet loggning här att avse så vitt skilda fall som relativt enkla loggar för teknisk övervakning av nätverk, loggar i inpasseringssystem och loggar i avancerade tillämpningar för prestationsmätning i exempelvis teletjänstverksamhet.

Risker för integritetsintrång torde endast förekomma om uppgiften, om viss aktivitet går att hänföra till en bestämd fysisk person och uppgiften således är en personuppgift i PUL:s mening. Resonemangen kommer därför i det följande att begränsas till situationer där uppgifterna i loggarna utgör personuppgifter. Med hänsyn till att personuppgifter vid loggning alltid behandlas automatiserat är PuL tillämplig enligt 5 §. Arbetsgivaren har en arbetsledningsrätt som ger arbetsgivaren en principiell rätt att bestämma när loggning skall ske. Av denna arbetsledningsrätt torde arbetsgivaren ha rätt att använda loggar för att kontrollera enskilda arbetstagares beteenden och prestationer. Att sådana kontroller inte får stå i strid med lag innebär bl.a. att arbetsgivaren vid behandlingen måste följa PuL och således ange ett särskilt och berättigat ändamål, att informera arbetstagarna om kontrollerna m.m.


IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt